軟體 - Win2000簡單安全組態

[psac]

Win2000簡單安全組態

一、系統的安裝

正常情況下Internet 訊息服務(IIS)只需要選項三項：
Internet服務管理器 + Word Wide Web伺服器 + 公用文件
附件和工具可以全部勾除(平常是用不到的)，再加上終端服務即可，其它統統勾除!

關於磁牒分區: 正常情況下，C碟分10G已經非常足夠使用，其它的應用軟體均安裝到D碟，如提供FTP服務的SERV-U，以免系統崩潰後要全新安裝系統 的時間需要制作備份C碟資料。

　

二、安裝硬體的驅動程式

經常安裝驅程後重新啟動會自動載入一些程序，可用超級兔子之類軟體清理一下啟動項。其它的如音效卡的驅動找不到，可以不用安裝，因為平常用不到音效卡，不需要把時間浪費在這裡。有碰到系統能預設值認出來的顯示卡也無需再另裝驅動程式。


二、修正檔安裝

裝完系統後，如果安裝的系統是沒有打過SP4的，請先安裝WINDOWS 2000 sp4，然後進入Windows Update在線更新所有修正檔。也可以下載修正檔集(chinaz.com提供 的下載)直接安時間排序打上，以免浪費時間，微軟的網站有時候非常慢的。

複製一些必要的軟體到D碟

如，WIN2K安裝目錄I386，可放置一份到D碟，以方便以後使用(如重裝IIS的時候)。
D碟新增一個SOFT目錄，用於存放常用軟體，如PHP，MYSQL，DUM，SERV-U，SQL SERVER等的安裝文件


三、系統安全性設定

1，用戶管理
移除TsInternetUser用戶，並且將Guest用戶改名禁用並且更改一個複雜的密碼！
更改Administrator的用戶名以及密碼！

2，不讓系統顯示上次登入的用戶名，具體操作如下： 
 修改註冊表「HKLM\Software\Microsoft\WindowsNT\Current Version\Winlogon\Dont Display
Last User Name」的鍵值，把REG_SZ 的鍵值改成1。

3，禁止建立空連接
預設值情況下，任何用戶可通過空連接連上伺服器，枚舉帳號並猜測密碼。可以通過以下兩種方法禁止
建立空連接。 
（1）修改註冊表 
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成1。 
（2）修改Win 2000的本機安全原則 
設定「本機安全原則→本機原則→選項」中的RestrictAnonymous（匿名連接的額外限制）為「不容
許枚舉SAM帳號和共享」。

4，開啟安全稽核
系統管理工具--本機安全原則--本機原則--稽核原則，正常情況下一共是9項

推薦設定為：
稽核原則更改：成功 失敗
稽核登入事件：成功 失敗
稽核對像訪問：失敗
稽核特權使用：失敗
稽核系統事件：成功 失敗
稽核目錄服務訪問：失敗
稽核帳戶登錄事件：成功 失敗
　 稽核賬戶管理：成功 失敗
稽核原則不需要全部開啟，如對像訪問的成功項。否則將會佔用過多的系統資源。


5，IP安全原則的組態。
可下載現成的原則直接匯入(詳細組態方法可見網上文章)，如http://afei.blog.chinaz.com/UploadFi.../128918890.rar ，下載後在系統管理工具--本機安全原則--IP安全原則 點右鍵選項-所有工作--匯入原則，匯入後，指派為新IP安全原則，然後在系統管理工具--本機安全原則--安全性設定 點右鍵選項重新載入

6，關閉不必要和危險的系統服務

一個新安裝好的windows 2000 server系統，預設值應該是存在以下服務，設定為以下狀態：

Alerter - 禁用 Application Management - 禁用

Automatic Updates - 可禁用

Background Intelligent Transfer Service - 禁用

ClipBook - 禁用

COM+ Event System - 手動

Computer Browser - 禁用

DHCP Client - 禁用

Distributed File System - 禁用

Distributed Link Tracking Client - 自動

Distributed Link Tracking Server - 禁用

Distributed Transaction Coordinator - 自動

DNS Client - 自動

Event Log - 自動

Fax Service - 禁用

File Replication - 禁用

IIS Admin Service - 自動

Indexing Service - 手動

Internet Connection Sharing - 手動

Intersite Messaging 禁用

IPSEC Policy Agent - 自動

Kerberos Key Distribution Center - 禁用

License Logging Service - 禁用

Logical Disk Manager - 自動

Logical Disk Manager Administrative Service - 手動

Messenger - 禁用

Microsoft Search - 禁用 (本服務在裝了SQLSERVER2000 SP3後出現)

Net Logon - 手動

NetMeeting Remote Desktop Sharing - 手動

Network Connections - 自動

Network DDE - 手動

Network DDE DSDM - 手動

NT LM Security Support Provider - 手動

Performance Logs and Alerts - 手動

Plug and Play 自動

Print Spooler 禁用

Protected Storage 自動

QoS RSVP - 手動

Remote Access Auto Connection Manager - 手動

Remote Access Connection Manager - 手動

Remote Procedure Call (RPC) - 自動

Remote Procedure Call (RPC) Locator - 手動

Remote Registry Service 必須禁用

Removable Storage - 自動

Routing and Remote Access - 禁用

RunAs Service - 禁用

Security Accounts Manager 自動

Smart Card - 手動

Smart Card Helper - 手動

System Event Notification 自動

Task Scheduler 必須禁用

TCP/IP NetBIOS Helper Service 必須禁用

Telephony - 手動

Telnet 禁用

Terminal Services - 自動

Uninterruptible Power Supply - 手動

Utility Manager - 手動

Windows Installer - 手動

Windows Management Instrumentation 自動

Windows Management Instrumentation Driver Extensions 自動

Windows Time - 手動

Wireless Configuration - 手動

Workstation 自動

World Wide Web Publishing Service 自動

做為一個管理員，應該知道各種服務都是做什麼用的，例如有人入侵後須及時發現是否執行了一些入侵者留下的服務。

7,修改註冊表
　

移除如下目錄的任何鍵：
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT

移除以下鍵：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Os2LibPath

移除以下鍵：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Optional
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Posix

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Os2



8，修改終端服務的預設值連接阜(如有必要才需要此操作，預設值為3389，可隨意修改為1-65535的連接阜)
開啟註冊表，在「HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations」處
找到類似RDP-TCP的子鍵，修改PortNumber值。

　

9，網路卡的連接阜篩選(看具體情況組態，正常情況不需要做此組態，此項組態需重新啟動才能生效)

網路卡內容裡的tcp/ip傳輸協定內容--->進階-->選項-->tcp/ip篩選內容-->

第一項:TCP連接阜：
只允許： ---(看具體這台伺服器提供什麼服務增加)
80 （www服務）
21 (一般的ftp預設值)
53 (DNS服務)
110 (MAIL的SMTP服務)
25 (MAIL的POP3服務)
還有例如你的遠端終端的連接阜(預設值為3389，也有可能你改為別的連接阜，如6666，則加上6666)
　

第二項UDP連接阜：
此項可不增加，因為限制了以後，伺服器則不能開啟網頁等操作(當然，也安全多了)


第三項IP傳輸協定：
ip傳輸協定：只允許6
　


10，IIS安全組態 開始-->程序-->系統管理工具-->Internet 服務管理器
預設值的設定是有一個叫「預設值站點」的站點，移除。
在IIS管理器中右擊主機，進入內容，會出來一個叫 "*機器名內容"的視窗，在主內容下選項"WWW服務"，進入編輯
到主目錄選擇項，進入應用程式設定下的組態，在應用程式映射裡，你可以看到有htw, htr, idq, ida等副檔名的映射，
除了asp,asa,shtml,sthm,stm外，其它的統統移除，因為其餘的映射幾乎每個都有安全方面的漏洞。(這是在未裝cgi之類服務的情況下，像cgi,安裝後也會在這裡自動增加映射,沒有映射可就執行不了cgi程序了，同理，php或asp.net也一樣)
預設值的iis發怖目錄為c:\Inetpub，將這個目錄移除。在d盤或e盤新增一個目錄(目錄名隨意,如WWW)，然後新增一個站點，將主目錄指向你新增的目錄。
這樣做的目的是為了將站點和系統分開。不至於站點的安全性設定出問題時危及到系統安全。


11，其它

網路卡內容裡的tcp/ip傳輸協定內容--->進階-->WINS-->選項 "禁用TCP/IP 上的NetBIOS"

移除C:\WINNT\Web下的兩個子目錄(一個是桌面圖片目錄，一個是列印目錄，列印目錄存在的話好像IIS的預設值站點一直會多一個Printer的目錄出來)



四、系統相關目錄及文件的權限設定

C、D、E等盤全部設定為僅Administrator組有完全控制權限(必須)

C:\Program Files
這個目錄，像連接資料庫這些都是要讀取的，是C碟下比較重要的權限設定。

設定為：
administrators組 -- 完全控制
SYSTEM - 完全控制
CREATOR GROUP - 全空的權限。（你可以先預設值的加上，然後套用。再重新設定權限，會發現權限變成空的，而另外多出來一個none的用戶，把那個none刪了，測試過執行ASP+ACCESS的程序這樣才會比較安全）
。。除了以上這三個以外，其它的統統刪掉。

C:\Documents and Settings
這個目錄設定為Administrator,SYSTEM擁有所有控制權限。


C:\WINNT
這個目錄設定為Administrator,SYSTEM擁有所有控制權限。IIS來賓帳戶設定為僅讀取權限(如有建立了專門的IIS用戶組，則這裡設定為IIS的用戶組)。


C:\WINNT目錄內 除 TEMP,system32目錄以外，所有目錄均設定為Administrator,SYSTEM擁有所有控制權限


C:\Winnt\system32目錄下的
xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe,
edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,
qbasic.exe,runonce.exe,syskey.exe
這些常用的程式也要設定為僅Administrator,SYSTEM有所有控制權限。



五、防止虛擬主機用戶利用FSO及其它權限

-----------------------
我們以建立一個 123.com站點的為例吧。設定目錄權限。
1，新增一個用戶組。例如 WebUser
2，新增一個站點用戶，如 web_123.com (密碼自定)，並設定為屬於WebUser組（不要再屬於其它的組了）
3，新增一個該站點的目錄，設定該目錄權限為 administrator 組為所有權限，以及Web_123.com用戶為所有權限(即完全控制)
4，設定IIS站點。正常建立新站點後，站點內容的站點安全性裡面也相應做設定...(站點內容--目錄安全性--身份驗證和訪問控制--編輯)